คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล
วิธีการที่คุณใช้ระบุชื่อของคีย์สโตร์และ Truststore ในโฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/ปลายทางเป้าหมายจะกำหนดวิธีที่คุณอัปเดตใบรับรอง คุณระบุชื่อคีย์สโตร์และ Truststore ได้โดยใช้สิ่งต่อไปนี้
- ข้อมูลอ้างอิง - แนะนำให้มี
- ชื่อโดยตรง
- ตัวแปรโฟลว์
โดยแต่ละวิธีจะมีผลต่างกันในกระบวนการอัปเดตใบรับรองตามที่อธิบายไว้ในตารางต่อไปนี้
ประเภทการกำหนดค่า | วิธีอัปเดต/แทนที่ใบรับรอง | วิธีอัปเดตโฮสต์เสมือน, เซิร์ฟเวอร์ปลายทาง/ปลายทางเป้าหมาย |
---|---|---|
ข้อมูลอ้างอิง (แนะนำ) |
สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มีชื่อเดียวกันกับชื่อแทนเดิม
สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่ |
อัปเดตการอ้างอิงไปยังคีย์สโตร์หรือ Truststore
ไม่จำเป็นต้องรีสตาร์ทเราเตอร์หรือตัวประมวลผลข้อความ |
ตัวแปรโฟลว์ (ปลายทางเป้าหมายเท่านั้น) |
สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มีชื่อเดียวกันหรือใช้ชื่อใหม่
สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่ |
ส่งตัวแปรขั้นตอนที่อัปเดตสำหรับแต่ละคำขอด้วยชื่อของคีย์สโตร์ ชื่อแทน หรือ Truststore ใหม่
ไม่จำเป็นต้องรีสตาร์ทเราเตอร์หรือตัวประมวลผลข้อความ |
Direct | สร้างคีย์สโตร์ ชื่อแทน และ Truststore ใหม่ |
อัปเดตโฮสต์เสมือนและรีสตาร์ทเราเตอร์
หากปลายทาง/เซิร์ฟเวอร์เป้าหมายปลายทางใช้ Truststore ให้ทำให้พร็อกซีใช้งานได้อีกครั้ง |
Direct | ลบคีย์สโตร์หรือ Truststore แล้วสร้างใหม่โดยใช้ชื่อเดียวกัน |
ไม่จำเป็นต้องอัปเดตโฮสต์เสมือน ไม่จำเป็นต้องรีสตาร์ทเราเตอร์ อย่างไรก็ตาม คำขอ API จะล้มเหลวจนกว่าจะมีการกำหนดคีย์สโตร์และชื่อแทนใหม่
หากใช้คีย์สโตร์สำหรับ TLS แบบ 2 ทางระหว่าง Edge และบริการแบ็กเอนด์ ให้รีสตาร์ทตัวประมวลผลข้อความ |
Direct | สำหรับ Truststore เท่านั้น ให้อัปโหลดใบรับรองใหม่ไปยัง Truststore |
หากโฮสต์เสมือนใช้ Truststore ให้รีสตาร์ทเราเตอร์
หากปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้ Truststore แล้ว ให้รีสตาร์ทตัวประมวลผลข้อความ |
การทดสอบใบรับรองก่อนและหลังการอัปเดต
ใช้คำสั่ง openssl
ต่อไปนี้เพื่อทดสอบใบรับรองปัจจุบันก่อนอัปเดต
echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
โดยที่ hostAlias คือชื่อแทนของโฮสต์ของโฮสต์เสมือนหรือที่อยู่ IP เช่น
echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject
คุณควรเห็นเอาต์พุตในรูปแบบต่อไปนี้
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
ใช้คำสั่งเดียวกันหลังจากอัปเดตใบรับรองเพื่อทดสอบ
อัปเดตใบรับรอง TLS ในคีย์สโตร์
การติดตั้งใช้งาน Edge ภายในองค์กร
- สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรองและคีย์ตามที่อธิบายไว้ใน Keystores และ Truststores
ในคีย์สโตร์ใหม่ ให้ตรวจสอบว่าคุณใช้ชื่อสำหรับชื่อแทนคีย์เดียวกันกับที่ใช้ในคีย์สโตร์ที่มีอยู่
หมายเหตุ: คุณลบคีย์สโตร์ปัจจุบันและสร้างคีย์สโตร์ใหม่ที่มีชื่อและชื่อแทนเดียวกันได้ ไม่จำเป็นต้องรีสตาร์ทเราเตอร์ อย่างไรก็ตาม คำขอ API จะล้มเหลวจนกว่าจะมีการกำหนดคีย์สโตร์และชื่อแทนใหม่ -
สำหรับโฮสต์เสมือนที่การเชื่อมต่อขาเข้าใช้ ซึ่งหมายถึงคำขอ API ไปยัง Edge ให้ทำดังนี้
- หากโฮสต์เสมือนใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดตข้อมูลอ้างอิงตามที่อธิบายไว้ในการทำงานกับข้อมูลอ้างอิง
- หากโฮสต์เสมือนใช้ชื่อโดยตรงของคีย์สโตร์ ให้ทำดังนี้
- อัปเดตโฮสต์เสมือนที่อ้างอิงคีย์สโตร์และชื่อแทนคีย์เดิมเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
- รีสตาร์ทเราเตอร์ทีละเครื่อง โปรดทราบว่าหากคุณลบคีย์สโตร์เก่าและได้สร้างคีย์สโตร์ใหม่โดยใช้ชื่อเดียวกันไปแล้ว คุณไม่จำเป็นต้องรีสตาร์ทเราเตอร์
ไม่ต้องทำให้พร็อกซีใช้งานได้ใหม่
-
สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายที่ใช้โดยการเชื่อมต่อขาออก ซึ่งหมายถึงการ
จาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์
- หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดตข้อมูลอ้างอิงตามที่อธิบายไว้ในการทำงานกับข้อมูลอ้างอิง ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
- หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายใช้ตัวแปรโฟลว์ ให้อัปเดตตัวแปรโฟลว์ ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
- หากปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้ชื่อโดยตรงของคีย์สโตร์ ให้ทำดังนี้
- อัปเดตการกำหนดค่าปลายทาง/เซิร์ฟเวอร์เป้าหมายสำหรับพร็อกซี API ที่อ้างอิงคีย์สโตร์และชื่อแทนคีย์เดิมเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
- สำหรับพร็อกซี API ที่อ้างอิงคีย์สโตร์จากคำจำกัดความของ TargetEndpoint คุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง
หาก TargetEndpoint อ้างอิงคำจำกัดความ TargetServer และการกำหนด TargetServer อ้างอิงคีย์สโตร์แล้ว ก็ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่ - หากใช้คีย์สโตร์สำหรับ TLS แบบ 2 ทางระหว่าง Edge และบริการแบ็กเอนด์ และคุณลบ/สร้างคีย์สโตร์ที่มีชื่อเดียวกัน คุณต้องรีสตาร์ทตัวประมวลผลข้อความ Edge
- หลังจากที่คุณได้ยืนยันแล้วว่าคีย์สโตร์ใหม่ทำงานได้อย่างถูกต้อง ให้ลบคีย์สโตร์เก่าที่มีใบรับรองและคีย์ที่หมดอายุตามที่อธิบายไว้ข้างต้น
อัปเดตใบรับรอง TLS ใน Truststore
หากคุณใช้การอ้างอิงไปยัง Truststore กระบวนการอัปเดตใบรับรองใน Truststore จะเหมือนกับขั้นตอนสำหรับคีย์สโตร์ดังที่แสดงด้านบน ความแตกต่างเพียงอย่างเดียวมีดังนี้
- เมื่ออัปโหลดใบรับรองใหม่ไปยัง Truststore ใหม่ ชื่อแทนจะไม่มีผลกับ Truststore
- หากใบรับรองเป็นส่วนหนึ่งของเชน คุณต้องสร้างไฟล์เดียวที่มีใบรับรองทั้งหมดและอัปโหลดไฟล์ดังกล่าวไปยังชื่อแทนเดียว หรืออัปโหลดใบรับรองทั้งหมดในเชนแยกต่างหากไปยัง Truststore โดยใช้ชื่อแทนอื่นสำหรับใบรับรองแต่ละรายการ
หากใช้ชื่อโดยตรงของคีย์สโตร์และ Truststore ให้ทำดังนี้
- อัปโหลดใบรับรองใหม่ไปยัง Truststore ตามที่อธิบายไว้ใน Keystores และ Truststore คุณไม่จำเป็นต้องลบใบรับรองเก่า
- สำหรับโฮสต์เสมือนที่ใช้โดยการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ใน Edge ให้รีสตาร์ทเราเตอร์ทีละรายการ
- สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายที่ใช้โดยการเชื่อมต่อขาออก ซึ่งหมายถึงจาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์ ให้รีสตาร์ทตัวประมวลผลข้อความ Edge Message ทีละเครื่อง
- ยืนยันว่า Truststore ใหม่ทำงานได้อย่างถูกต้อง